更新时间:2024-03-05 GMT+08:00
OBS服务端加密
简介
当您启用服务端加密功能后,在上传对象时,数据会在服务端加密成密文后存储。在下载加密对象时,存储的密文会先在服务端解密为明文,再提供给您。
KMS通过使用硬件安全模块(HSM)保护密钥安全的托管,帮助您轻松创建和管理加密密钥。您的密钥明文不会出现在HSM之外,避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足监督和合规性要求。
需要上传的对象可以通过KMS提供密钥的方式进行服务端加密。您首先需要在KMS中创建密钥(或者使用KMS提供的默认主密钥),当您在OBS中上传对象时使用该密钥进行服务端加密。
使用服务端加密方式上传文件(控制台)
- 在OBS管理控制台桶列表中,单击待操作的桶,进入“概览”页面。
- 在左侧导航栏,单击“对象”。
- 单击“上传对象”,系统弹出“上传对象”对话框。
- 单击“添加文件”,选择待上传的文件后,单击“打开”。
- 在服务端加密行,选择“SSE-KMS”,在下方的选择框中选择默认密钥或者自定义密钥,并单击“上传”,如图1所示。
密钥名称:自定义密钥名称,是用户在数据加密服务中创建的密钥,主要用于加密保护数据。OBS会提供一个名为“obs/default”的默认密钥,用户可以选择使用默认密钥加密上传对象,也可以通过数据加密服务页面创建的自定义密钥加密上传对象。
在使用SSE-KMS时通常选择AES算法密钥。如果需选择SM4加密算法密钥,仅支持在华北-乌兰察布一区域使用。
- 对象上传成功后,可在对象列表中查看对象的加密状态。
- 对象的加密状态不可以修改。
- 使用中的密钥不可以删除,如果删除将导致加密对象不能下载。
使用服务端加密方式上传文件(API)
用户也可以通过调用OBS API接口,选择服务端加密SSE-KMS方式(SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密)上传文件,详情请参考《对象存储服务API参考》。
父主题: 云服务使用KMS加解密数据